事故から学ぶ

イオンカードで不正利用 2200万円、ネット被害、個人情報も漏えい

事故概要

業種 イオンカード
発生時期 2019/06/14
漏えい人数 1,917人
事故概要

イオン銀行とイオンクレジットサービスは、会員向けインターネットサイトが不正アクセスを受け、クレジットカードが不正利用されたと明らかにした。1917件のアカウントに不正ログインがあり、不正利用の被害は判明分だけで708人の約2200万円に上る。個人情報も流出したとみられる。
イオングループのカード会員向けサービス「暮らしのマネーサイト」とスマートフォンアプリ「イオンウォレット」に5月28日~6月3日、不正ログインがあった。何者かが会員登録された電話番号を改変し、番号で認証できる別のスマホアプリと連携させることで、不正利用された疑いがあるという。

引用元 中日新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-1 (第20条)安全管理措置

チェックリストにある要求ルール:

パソコン設定 “Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSやソフトウェアを安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れてウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

■ 推奨対策

対策:

365日24時間監視を行うサーバの共有サービス提供者であるため以下の対策をすぐに講じることができた。
・速やかな攻撃検知
・手順に沿って踏み台となったIDの利用停止
・不正ファイルをすべて削除
・影響度調査を直ちに実施し、他の顧客の利用領域にも不正なファイルが設置されたことも確認、削除
・踏み台以外の顧客のIDやパスワードが不正利用がないことの確認
・顧客が管理しているホームページコンテンツの改ざんは一切ないことの確認。
以上の対応を直ちに取れる体制を整え運用していたことは対策としては評価できる。

具体例:

レンタルサーバ(サーバ共有サービス)の提供者は多数あるが、サービス形態も多岐にわたり、その事業者のホームページから、実際に情報漏えいに有効な安全管理措置を講じている事業者であるのかの見極めは難しい。高ければ安全というわけではないが、安全管理体制が維持できないような、あまりに格安である事業者を利用するのは、個人情報を取り扱うホームページの掲載は控えるべきであろう。利用前に前述の対策に記載されたような対応が取れる事業者であるのかコールセンタなどに問い合わせをすることで、ある程度の判断は付くと思われる。
今回の事例では、これだけ監視体制を取っていてもアカウントの乗っ取りと不正ファイルの送り込みをされてしまうほど、外部アタックの攻撃力が高いことを認識し、不用意に個人情報をため込まないことも漏えい防止策の基本動作としてとらえておくべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。